Unit 42 发现了 KimJongRAT 恶意软件的两个新进化变体,一个使用传统的 PE(可移植可执行文件)文件,另一个使用基于 PowerShell 的脚本来渗透系统、窃取数据并泄露敏感的浏览器、电子邮件和加密货币钱包信息。
KimJongRAT 最初于 2013 年和 2019 年再次记录,现已重新出现,具有更高的隐身性和先进的多级交付机制,利用合法的内容交付网络 (CDN) 来掩盖其恶意负载。正如 Unit 42 研究人员所强调的那样,这些最新版本标志着“一个明确且持续的威胁”,展示了威胁行为者如何继续增强他们的工具包。
这两种变体的感染链开始相似:用户被诱骗打开 Windows 快捷方式 (LNK) 文件——通常伪装成官方文档,从 CDN 子域 cdn.glitch[.] 下载 HTA(HTML 应用程序)文件。全球。
在 PE 变体中,此 HTA 会放置一个诱饵 PDF、一个加载程序 (sys.dll) 和一个带有其他有效载荷 URL 的文本文件。PowerShell 变体遵循类似的路径,但将加载程序替换为 PowerShell 脚本和包含混淆窃取程序和键盘记录器模块的 ZIP 存档。
PE 变体是有条不紊地制作的:
- HTA 文件会放置一个 Base64 解码的 DLL,然后:
- 检查沙盒环境,确保它仅在真实系统中运行。
- 下载其他加密组件,反射式加载窃取程序 (net64.log),并最终执行强大的编排器 (main64.log)。
此 Orchestrator 能够:
- 通过 HTTP POST 方法上传被盗文件和剪贴板数据
- 通过 GET 请求接收后门命令
- 搜索敏感文档格式,包括 .hwp、.pdf、.docx 和 .zip
- 泄露浏览器凭据、FTP/电子邮件客户端数据和键盘日志
Unit 42 指出,该恶意软件的编排能力非常强大,编排器使用多个线程进行键盘记录、剪贴板监控和持续数据盗窃。
“网络通信是在无限循环中实现的,该循环上传收集的数据并从 C2 服务器请求命令,”研究人员解释说。
相比之下,PowerShell 变体更集中。它通过 ZIP 存档中的嵌入式脚本部署其窃取程序和键盘记录器。值得注意的是,它对浏览器数据进行了全面监控,尤其是对于加密货币钱包扩展。
根据 Unit 42 的说法,“这项新分析揭示了 PowerShell 变体对加密货币的特别关注”,识别并定位 MetaMask、Trust Wallet、TronLink、Exodus Web3 Wallet 和其他 30 多个加密钱包的浏览器扩展。
窃取者通过添加 Windows 注册表项 (WindowsSecurityCheck) 并持续扫描以下内容来实现持久性:
- 饼干
- 保存的登录凭证
- 已安装的扩展和浏览器活动
- 加密货币钱包数据
- 最近访问的文档和存档文件
Unit 42 的取证分解显示,窃取者甚至停止浏览器进程以安全地复制敏感文件,对其进行加密,并使用计划作将它们发送到攻击者的命令和控制 (C2) 服务器。
两种变体都具有几个高级特征:
- 滥用受信任的 CDN 进行有效负载交付
- 通过 Base64 和 XOR 加密进行混淆
- 分段执行以逃避检测的多阶段加载器
- 使用 certutil.exe、rundll32.exe 和 mshta.exe 等合法工具
也许最引人注目的是 KimJongRAT 的适应性,它从 2019 年与“巨人婴儿行动”相关的活动演变而来,现在以现代化的基础设施和对加密货币盗窃的日益重视重新出现。
